Mitos sobre los troyanos más utilizados

xoftfox · 17 Febrero 2012, 23:32 PM

hace un par de semanas lei algo interesante acerca de Bifrost y Poison... tratando de resumirles decia que estas dos "bestias" (en el buen sentido), estaban programadas de tal forma que al colarlos en nuestra mákina para el estudio o curiosidad d saber como funcionan. Tambien era beneficiado el programador de éstos ya que el programa en si convertia a todos los usuarios de estos en victimas. Como digo parece tratarce de un mito y como todo mito tiene nalgo de verdad y de mentira... espero que sean ustedes los que opinen

skapunky · 17 Febrero 2012, 23:46 PM

Eso es algo complejo de saber la verdad, cualquier troyano donde se libere su codigo y se haga público, un tercero puede cogerlo, modificarlo y recompilarlo haciendo que el propio cliente infecte al usuario que lo ejecute.

Si hay un cliente como se suele decir "troyanizado" no quiere decir que sea obra del autor si su codigo es libre.

Hace años, hubo uno muy famoso, el Darkmoon. No se si habran oído hablar. El creador del Darkmoon lo programó en delphi y durante tiempo se decia que su troyano estaba infectado. Yo durante años, antes y despues de ese "incidente" lo conocía y hablábamos de programación en delphi y estoy casi seguro que el no lo troyanizó.

De hecho, sacó mas tarde una versión privada que la vendia a un precio (no opinaré sobre ello) y todo el mundo alegó que esa no estaba infectada, claro que su código nunca fue público en esa versión.

Cada un que saque sus conclusiones, pero no es un mito, es una realidad y un tercero puede recompilar codigo infectado sin problemas.

xoftfox · 17 Febrero 2012, 23:59 PM

bueno corrijanme si estoy ekivocado pero creo que las unicas versiones de estos troyanos que podemos en algo modificar (me refiero al bifrost) es la version desempaquetada, poque en sí codigo fuente de estos troyanos no hay...

pero si te refieres a que dentro del cliente de bifros un tercero bindeo un server.... eso ya es otra cosa.... yo me refiero al codigo fuente como tal

skapunky · 18 Febrero 2012, 01:26 AM

Yo también me refiero al codigo fuente, si está liberado, se coge y se modifica...añadiendo funciones o modificando funciones y se recompila.

Añadir malware con un binder nunca me referí, eso es para gente que lo maximo que ha hecho de programación en su vida es resolver un sistema de 1 equación.

.:UND3R:. · 18 Febrero 2012, 18:44 PM

Pero es tan simple con un debugger ver como trabaja :B . al igual que visualizar las conexiones establecidas. Saludos

$Edu$ · 22 Febrero 2012, 17:12 PM

Cita de: .:UND3R:. en 18 Febrero 2012, 18:44 PM
Pero es tan simple con un debugger ver como trabaja :B . al igual que visualizar las conexiones establecidas. Saludos

Claro, con eso te puedo decir que Bifrost por lo menos no tiene nada malo, yo no lo analice nunca pero si llego a ser tan usado es porque no contenia nada raro, sino alguien hubiera publicado que estaba troyanizado mostrando alguna prueba y nadie lo usaria mas.

x64core · 22 Febrero 2012, 21:45 PM

Yo una vez vi un articulo completo sobre el analisis del bifrost... por ahí debe estar en la red, si lo encuentro lo publico
ademas esta pregunta yo la hice hace unos meses

x64core · 22 Febrero 2012, 23:17 PM

ah! lo sabia que por aquí cerca tenia el enlace esta en la pagina del moderador de ing inversa, Shaddy:
http://abssha.blogspot.com/2009/06/analisis-de-bifrost-v12-exahustivo.html

@Edu:
Edu, por lo visto falto un poco mas

al parecer el server SI esta infectado

:
Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado)

.:UND3R:. · 26 Febrero 2012, 18:21 PM

Me he leído la primera parte y por el momento no se comenta nada no se ve nada extraño, desgraciadamente no logro encontrar la parte #2

[Zero] · 27 Febrero 2012, 01:36 AM

Es falso, al menos las versiones oficiales que conozco.